Malware SwaetRAT
SwaetRAT es un troyano de acceso remoto (RAT) creado como una aplicación de 32 bits que utiliza el marco .NET. Este tipo de amenaza permite a los atacantes obtener control no autorizado sobre un sistema comprometido, lo que les permite monitorear la actividad del usuario, extraer información confidencial y ejecutar comandos de forma remota.
Tabla de contenido
Registro de teclas y robo de datos
Una de las principales funciones de SwaetRAT es el keylogging, que captura cada pulsación de tecla realizada por la víctima. Esta capacidad le permite registrar credenciales de inicio de sesión, detalles financieros, mensajes personales y otros datos confidenciales. Además, el RAT escanea el archivo 'Log.tmp' en busca de palabras clave como 'Paypal' y 'Binance', dos plataformas financieras ampliamente utilizadas. Si se encuentra alguna coincidencia, la información se transmite al servidor de Comando y Control (C2) del atacante, lo que proporciona a los cibercriminales información sobre la actividad financiera de la víctima.
Perfiles del sistema y ejecución de comandos
SwaetRAT recopila diversos detalles del sistema, como el identificador único del sistema, el nombre de usuario, la información del sistema operativo, el software de seguridad instalado y si el usuario tiene privilegios administrativos. Además de recopilar información, el RAT admite una variedad de comandos para realizar múltiples acciones en un dispositivo infectado.
Entre sus capacidades se incluyen escribir y ejecutar scripts de PowerShell, descargar y ejecutar archivos desde ubicaciones remotas, realizar capturas de pantalla, registrar la actividad de la pantalla en tiempo real, crear archivos en el escritorio e incluso eliminarse del sistema. Estas funcionalidades pueden tener consecuencias como robo de identidad, fraude financiero, nuevas infecciones y compromiso prolongado del sistema.
Cadena de infección y su despliegue
SwaetRAT suele distribuirse a través de correos electrónicos de phishing que redirigen a las víctimas a un sitio web fraudulento que aloja un cliente ScreenConnect infectado. Cuando se ejecuta, el cliente conecta la máquina infectada a un servidor controlado por el atacante.
A continuación, se introduce en el sistema un script VBS que recupera código no seguro adicional de Internet. Este código se decodifica y se ejecuta, lo que finalmente conduce a la implementación de Ande Loader, que entrega SwaetRAT como carga útil final.
Con su amplio control sobre los sistemas infectados, SwaetRAT representa un riesgo considerable para las víctimas, facilitando el robo de datos, la vigilancia no autorizada y una mayor explotación de los dispositivos comprometidos.
